(0) exportieren Drucken
Alle erweitern

Häufig gestellte Fragen zu verwalteten Dienstkonten

Letzte Aktualisierung: Juni 2011

Betrifft: Windows 7, Windows Server 2008 R2

Die folgenden Fragen und die Antworten beinhalten wichtige Informationen zum Verwenden von verwalteten Dienstkonten mit Microsoft-Serveranwendungen.

Unter Windows Server® 2008 R2 und Windows® 7 stehen zwei neue Dienstkontotypen zur Verfügung – das verwaltete Dienstkonto und das virtuelle Dienstkonto. Das verwaltete Dienstkonto wurde entwickelt, um die Isolierung der eigenen Domänenkonten in wichtigen Anwendungen wie IIS zu ermöglichen. Zugleich sollte es in Zukunft nicht mehr erforderlich sein, dass ein Administrator den Dienstprinzipalnamen (Service Principal Name, SPN) und die Anmeldeinformationen für diese Konten manuell verwaltet. Die automatische Kennwortverwaltung und die vereinfachte Verwaltung von Dienstprinzipalnamen wird von verwalteten Domänenkonten bereitgestellt. Virtuelle Konten sind verwaltete lokale Konten, die mithilfe der Anmeldeinformationen eines Computers auf Netzwerkressourcen zugreifen können.

Dieses Thema enthält die folgenden Informationen:

Nein. Ein verwaltetes Dienstkonto kann nur auf einem einzelnen Computer installiert werden.

Ja. Obwohl verwaltete Dienstkonten nur auf einem einzelnen Computer installiert werden dürfen, können diese andererseits wie gewöhnliche Konten verwendet werden, sodass domänenübergreifend auf Ressourcen zugegriffen werden kann, sofern die entsprechenden Active Directory-Vertrauensstellungen vorhanden sind.

Ja. Ein verwaltetes Dienstkonto kann wie ein beliebiger anderer Benutzer oder ein Computerkonto in eine Sicherheitsgruppe eingefügt werden.

Der verwaltete Dienstkontocontainer im Microsoft Management Console-Snap-In (MMC) "Active Directory-Benutzer und -Computer" ist der Standardcontainer für verwaltete Dienstkontoobjekte. Diese können jedoch an beliebiger Stelle im Verzeichnis gespeichert werden.

Kennwörter werden für das verwaltete Dienstkonto automatisch erstellt und alle 30 Tage aktualisiert. Ein Kennwort kann manuell geändert werden.

Ja. Das Kennwort für ein verwaltetes Dienstkonto wird standardmäßig automatisch aktualisiert. Allerdings kann das zu Authentifizierungsfehlern führen, da die NTLM- und Kerberos-SSPs (Security Support Providers) das neue Kennwort nicht erkennen. Installieren Sie den Hotfix wie im Microsoft Knowledge Base-Artikel zum Thema einer fehlgeschlagenen Dienstkontoauthentifizierung nach einer Kennwortänderung in Windows 7 oder in Windows Server 2008 R2 (KB 2494158) beschrieben, um das Problem dauerhaft zu beheben.

Nein. Verwaltete Dienstkonten wurden zur Vereinfachung der Verwaltung wichtiger Anwendungen entwickelt. Dienste müssen nicht beendet werden, wenn das Kennwort eines verwalteten Dienstkontos aktualisiert wird.

Ja. Sie können das Windows PowerShell-Cmdlet Reset-ADServiceAccount verwenden, um das Kennwort eines verwalteten Dienstkontos manuell zurückzusetzen. Sie können das Kennwort eines verwalteten Dienstkontos auch mit dem Befehlszeilentool "Nltest.exe" zurücksetzen. Weitere Informationen zum Zurücksetzen der Kennwörter von verwalteten Dienstkonten finden Sie in der Schrittweise Anleitung zu Dienstkonten (möglicherweise in englischer Sprache).

 

Technologie Verwaltete Dienstkonten Hinweise

Microsoft Exchange

Ja

In Exchange Server können Sie die E-Mails eines verwalteten Dienstkontos jedoch nicht für einen Dienst oder eine Anwendung senden. Um diese Einschränkung zu umgehen, verwenden Sie das verwaltete Dienstkonto, um den Dienst auszuführen. Erstellen Sie jedoch für den Dienst ein separates konventionelles Benutzerkonto, und konfigurieren Sie den Dienst so, dass E-Mails mit diesem Konto gesendet werden.

Microsoft IIS

Ja

Sie könne IIS-Anwendungspools für die Verwendung von verwalteten Dienstkonten konfigurieren.

Microsoft SQL Server

Nein

Aufgabenplanung

Nein

Active Directory Lightweight Directory Services (AD LDS)

Ja

Zum Aktivieren der AD LDS-Unterstützung sind bestimmte Verfahren erforderlich.

Um Active Directory Lightweight Directory Services (AD LDS) für die Ausführung unter einem verwalteten Dienstkonto zu aktivieren, müssen Sie das verwaltete Dienstkonto auf dem Computer installieren und konfigurieren, auf dem AD LDS gehostet wird. Die grundlegenden Verfahren zum Installieren eines verwalteten Dienstkontos finden Sie in der Schrittweise Anleitung zu Dienstkonten (möglicherweise in englischer Sprache). Nachdem Sie das verwaltete Dienstkonto auf dem Computer installiert haben, auf dem AD LS gehostet wird, müssen Sie das folgende Verfahren abschließen.

  1. Öffnen Sie das PowerShell-Modul für Active Directory-Domänendienste (AD DS), und führen Sie das folgende Cmdlet aus: Install-ADServiceAccount <ManagedServiceAccountName>.

    noteHinweis
    Informationen zum Installieren und Verwenden des PowerShell-Moduls für AD DS finden Sie in der Schrittweise Anleitung zu Dienstkonten (möglicherweise in englischer Sprache).

  2. Beenden Sie den AD LDS-Dienst entweder mit der Snap-In-Konsole "Dienste" oder durch das Ausführen des folgenden Cmdlets: Stop-Service ADAM_<InstanceName>.

  3. Gewähren Sie dem verwalteten Dienstkonto Lese- und Schreibberechtigungen für die AD LDS-Daten und -Protokollordner sowie für die Verzeichnisinformationsstruktur-Datei.

    TipTipp
    Wenn es sich um eine typische Installation handelt, übernehmen Sie diese Berechtigungen für den Ordner %ProgramFiles%\Microsoft AD LDS\<InstanceName>\data und alle Dateien in diesem Ordner.

  4. Gewähren Sie dem verwalteten Dienstkonto "Zulassen"-Berechtigungen für den Registrierungsschlüssel \HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ADAM_<InstanceName> und für die folgenden Unterschlüssel:

    • Query Value

    • Enumerate Subkeys

    • Notify

    • Read Control

  5. Gewähren Sie dem verwalteten Dienstkonto Vollzugriffsberechtigungen für den Registrierungsschlüssel \HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ADAM_<InstanceName>\Parameters.

  6. Gewähren Sie dem verwalteten Dienstkonto Sicherungsberechtigungen für den Volumeschattenkopie-Dienst (VSS). Wechseln Sie hierzu zu \HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VSS\VssAccessControl, und erstellen Sie einen Registrierungseintrag mit an den Kontonamen angefügtem $.

    TipTipp
    Wenn es sich beim verwalteten Dienstkonto in der Domäne MyDomain beispielsweise um MyMSA handelt, sollte der Registrierungseintragsname MyDomain\MyMSA$ lauten.

  7. Legen Sie den Wert dieses Registrierungseintrags auf 1 fest.

    noteHinweis
    Informationen zu VSS-Sicherheitsüberlegungen finden Sie in den Sicherheitsüberlegungen für Autoren.

  8. Fügen Sie dem verwalteten Dienstkonto Sicherheitsüberwachungsberechtigungen hinzu, indem Sie die Schritte für Ereignis-ID 2521 – Überwachung befolgen.

  9. Wählen Sie das Computerobjekt in AD LDS aus, und weisen Sie dem verwalteten Dienstkonto die Rechte Untergeordnetes Objekt erstellen und Untergeordnetes Objekt löschen zu. Dadurch kann AD LDS Dienstverbindungspunkt-Objekte erstellen.

    noteHinweis
    Weitere Informationen zu Dienstverbindungspunkt-Objekten und AD LDS finden Sie im Abschnitt zum Administering AD LDS Service Publication.

  10. Öffnen Sie die Snap-In-Konsole "Dienste", klicken Sie mit der rechten Maustaste auf den Dienst, der mit dem verwalteten Dienstkonto verwendet werden soll, und klicken Sie auf Eigenschaften.

  11. Klicken Sie auf die Registerkarte Anmelden und auf Dieses Konto, und geben Sie den Namen des verwalteten Dienstkontos im Format Domänenname\Kontoname ein, oder klicken Sie auf Durchsuchen, um das Konto zu suchen. Vergewissern Sie sich, dass das Kennwortfeld leer ist, und klicken Sie dann auf OK.

  12. Starten Sie den Dienst <InstanceName>, indem Sie Start-Service ADAM_<InstanceName> ausführen, oder indem Sie den Dienst in der Snap-In-Konsole starten.

Weitere Informationen zum Erstellen und Verwenden von verwalteten Dienstkonten finden Sie in der Schrittweise Anleitung zu Dienstkonten (möglicherweise in englischer Sprache).

Weitere Informationen finden Sie unter:

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Microsoft führt eine Onlineumfrage durch, um Ihre Meinung zur MSDN-Website zu erfahren. Wenn Sie sich zur Teilnahme entscheiden, wird Ihnen die Onlineumfrage angezeigt, sobald Sie die MSDN-Website verlassen.

Möchten Sie an der Umfrage teilnehmen?
Anzeigen:
© 2014 Microsoft